Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

Faille pour TweetDeck

Depuis plusieurs heures, des milliers d’internautes se sont amusés à utiliser une vulnérabilité dans l’outil de conversation en ligne TweetDeck.

Un excellent logiciel au demeurant qui permet de suivre et administrer plusieurs comptes Twitter. La faille, un XSS, a donc été diffusé et largement exploité pour le fun, mais aussi dans des buts largement moins avouables. Une véritable plaie, le code diffusé retweet la faille et envahie donc Twitter et les comptes des utilisateurs ainsi piégés. Cela fait plus de 24 heures que la vulnérabilité est connue publiquement, et Twitter, propriétaire de l’outil n’a pas encore réagi. Attendez-vous à voir Tweetdeck fermer quelques minutes (heures ?) le temps de la mise en place d’un correctif.

Une vague XSS qui pourrait paraître anodine. Le Cross-Site Scripting ne fait que diffuser automatiquement son contenu. Une action qui cache peut-être l’arbre malveillant dans la forêt ! Un pirate serait-il en train de détecter des cibles utilisatrices de TweetDeck. Une veille (un compte Twitter référence les microblogs piégés, voir ci-dessus, Ndlr de DataSecuritybreach.fr) aux intentions malveillantes qui aurait pour but final de lancer une autre attaque, dans les heures/jours à venir ? Action largement plus violente via une faille, un 0day [0Day], voleuse de données; ou d’une préparation pour une cyber manifestation contre la Coupe du Monde 2014 qui débute au Brésil ? A suivre …

Livre Blanc Certissim : la fraude identitaire prend de l’ampleur

Depuis 2000, le Livre Blanc Certissim apporte sa vision de la fraude sur le marché du e-commerce français. Document de référence pour les e-marchands souhaitant optimiser leur gestion de la fraude, le Livre Blanc Certissim présente les grands indicateurs de la fraude dans le e-commerce ainsi que les nouveaux enjeux de la lutte contre la fraude.

L’expertise de Certissim et son implication dans la lutte contre la fraude lui permettent également de décrire les nouvelles techniques des cybercriminels. Les données du Livre Blanc Certissim proviennent des fraudes détectées par son système ainsi que des déclarations d’incidents de paiement de ses 900 sites marchands partenaires.

L’édition 2014 de cette étude met en avant une augmentation et une diversification des méthodes d’usurpation des données personnelles ainsi qu’une généralisation de la fraude sur l’ensemble du territoire. Les tentatives de fraude s’élèvent à près de 2 milliards d’euros en 2013, contre 1,7 milliards une année plus tôt. La projection des taux de Certissim sur l’ensemble du e-commerce français, soit 51,1 milliards d’euros de chiffre d’affaires(1), indique que l’ensemble des tentatives de fraude se chiffrerait a minima à 1,9 milliard d’euros en 2013. Les enjeux financiers sont par conséquent significatifs à l’échelle de l’économie numérique nationale. Sur le périmètre étudié par Certissim, le taux de tentatives de fraude dans le e-commerce s’est stabilisé à 3,83 % (3,91 % en 2012). Le taux d’impayés frauduleux est en baisse à 0,14 % (0,18 % en 2012)(2) . Le panier moyen des impayés est de 243 €. Si le risque reste important, la fraude dans le e-commerce est mieux maîtrisée.

Fraude identitaire : croissance des usurpations de comptes clients
Certissim alerte les particuliers et les professionnels sur l’évolution des méthodes de phishing(3) observée en 2013. Les auteurs de phishing ne se contentent plus d’essayer de récupérer des coordonnées bancaires. Désormais, ils cherchent à récolter tous types de données personnelles : état civil, coordonnées (postales, bancaires, téléphoniques), mots de passe, réponses aux questions secrètes, etc. L’objectif pour eux est d’utiliser une identité « propre » et crédible pour commander en ligne.

En cumulant les informations issues de phishing et des réseaux sociaux, DataSecurityBreach.fr a pu lire que les fraudeurs parviennent à prendre possession de comptes clients de e-acheteurs honnêtes connus des e-commerçants. Ces usurpations sont possibles notamment à cause de la négligence des particuliers quant à la écurisation de leurs mots de passe. Une fois connecté, les fraudeurs s’approprient le compte client, en modifiant l’adresse e-mail et le numéro de téléphone, et commandent avec des numéros de cartes bancaires volés. En outre, le fraudeur n’est pas inquiété mais le vrai détenteur du compte client doit prouver qu’il n’est pas à l’origine des commandes frauduleuses.

Aucune région française n’est épargnée par la fraude
Certissim dresse un double constat à partir des adresses de livraison des commandes frauduleuses (tentatives de fraude et impayés). Le phénomène de concentration de la fraude en zones urbaines se confirme. Les fraudeurs utilisent des adresses de livraison situées dans les grands centres urbains afin de se fondre dans la masse des commandes en ligne effectuées quotidiennement. Ils disposent alors d’un important marché de revente à proximité de leurs lieux de livraison. Les cas de fraudes en zones rurales augmentent. En province, les fraudeurs  privilégient la livraison en point relais. Pour ne pas être repérés, ils comptent sur la méconnaissance de leurs procédés de la part d’autorités locales peu confrontées à la fraude.

(1) Données Fevad, janvier 2014
(2)Taux de tentatives de fraude et d’impayés en valeur
(3) Hameçonnage

Heartbleed, de retour dans nos smartphones

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.

Val Thorens, une marque protégée sur Internet

Comme l’explique le site Legalis, la station de ski Val Thorens est une marque qu’il vaut mieux éviter de détourner sur Internet.

Par un arrêt du 28 mai 2014, la cour d’appel de Lyon a estimé que les noms de domaine val-thorens.net et val-thorens.org appartenaient à la station de ski éponyme et non pas à l’internaute qui avait mis la main de ces adresses web. Pour la justice, il y a violation du droit d’auteur, même si la Ville et son office de tourisme n’avaient pas enregistré les noms de domaine.

Formulaire d’oubli de Google, oui mais…

Reputation VIP, l’un des leaders français de l’e-réputation, réagit de manière très positive à la mise en ligne du formulaire d’oubli de Google suite à la décision de la Cour de justice Européenne. Le droit à l’oubli sur Internet est un réel sujet de société, auquel la startup lyonnaise est confrontée quotidiennement. Bertrand Girin, PDG de Réputation VIP indique « que toute l’équipe est impressionnée par la rapidité d’action de Google, qui a mis en ligne rapidement le formulaire pour que certaines personnes physiques puissent soumettre leurs demandes de suppression de résultats ».

Mais de nombreuses questions se posent. Google cite comme critère de décision l’obsolescence, la pertinence ou encore l’excès. Ces termes ne sont-ils pas de parfaits exemples de notions subjectives ? Comment Google peut-il juger de cela ? N’est-ce pas aussi une dangereuse façon de renforcer davantage la toute-puissance du géant américain ? Que fera Google en cas d’homonymie ? Comment départager Jean Dupont le criminel de Jean Dupont le bon père de famille ? Qui devra occuper la page des résultats Google ? Et surtout comment Google saura-t-il qui est le Jean Dupont qui fait la demande de suppression ?

La CJUE demande que les personnalités publiques n’aient pas la même facilité que le citoyen lambda à faire supprimer les informations, mais à partir de quand devient-on une personnalité publique ? Le maire d’une petite commune n’est peut-être pas une personnalité publique pour vous, mais pour ses habitants ? Le chef d’entreprise qui passe régulièrement dans les médias sera-t-il considéré comme une personne publique ?

Enfin, on peut se poser la question du champ d’action de ce formulaire. Faut-il être citoyen européen ? Le formulaire parle actuellement de « certains utilisateurs », mais qui sont-ils ? De plus, le champ des suppressions reste-il borné aux moteurs de recherche européens ? Ou vos amis à New-York et Tokyo pourront-ils encore voir ce que vous ne verrez plus ?

Google a annoncé la mise en place d’un comité consultatif d’experts, mais là aussi une question se pose inévitablement, celle de la gouvernance. De quel type de personnes sera t’il composé ? Ces dernières seront-elles intégrées à Google ou indépendantes ? Bertrand Girin PDG de Réputation VIP : « Nous avions tout de suite compris que ce comité était indispensable, l’e-réputation est un sujet trop sensible pour que l’on puisse la juger sans en discuter. On touche à la vie des gens, à leurs opinions, et surtout à l’opinion que les autres ont d’eux. L’opinion est un sujet trop subjectif pour que l’on puisse la ranger dans des cases et automatiser nos jugements sur les comportements d’autrui »

Hack4France

Le 1er Hackathon en ligne 100% Made in France. Pendant que le Ministre Arnaud  Montebourg annonce vouloir un OS 100% Français, faut-il lui rappeler que l’hexagone avait déjà, dès 1998, son OS baptisé Mandrake Linux, l’école privée d’informatique Epitech lance le 1er Hackathon dédiée aux start-ups françaises.

L’idée, inscrire votre API sur Hack4France, et montrez la puissance de votre concept et de vos données. Jusqu’au 22 juin, les développeurs du monde entier sont invités à se constituer en équipes de compétences complémentaires. Ils choisissent une des 10 APIs du challenge et commencent à coder on-line sur la plateforme du Hackathon. Les 5 applications les plus innovantes, toutes API confondues, seront présélectionnées pour participer à la finale qui se déroulera du 19 juin et 8 juillet.

Un concours sponsorisé par Microsoft, Bouygues Telecom et Total. Ce premier challenge d’innovation en ligne dédié aux start-ups françaises est organisé avec le soutien du ministère de l’Economie, du Redressement productif et du Numérique.

RSSIA 2014

Les Rencontres de la Sécurité des Systèmes d’Information Aquitaine se tiendront le 20 juin 2014 à Talence (région de Bordeaux).

Pour cette 6ième édition des RSSIA, le CLUSIR propose comme thématique : « La confiance numérique au cœur des nouveaux usages digitaux« . Avec entre autres sujets : la vie numérique, le numérique en Aquitaine, le Le SIEM, le NFC, la Cybercriminalité avec La gendarmerie de la Gironde ( Le NTECH ), Les Lanceurs d’alerte / Full Disclosure ou comment rompre le silence avec Olivier Laurelli (Bluetouff) et Damien Bancal (Zataz), Les objets connectés, Heartbleed le bug qui fait trembler l’IT, l’ OWASP , Les normes ISO 29000 avec la CNIL.Comme chaque année, Le Panorama de la Cybercriminalité sera présenté avec le CLUSIF.

Entrée libre et gratuite, sur inscription.

 

Les utilisateurs de services Google ciblés par une attaque de phishing difficile à détecter

Les pirates récupèrent les mots de passe de comptes Google via une attaque de phishing particulièrement difficile à détecter par une analyse heuristique classique.

Selon les Laboratoires antivirus Bitdefender, des cybercriminels récupèrent les mots de passe d’utilisateurs de comptes Google grâce à une attaque de phishing difficile à détecter par une analyse heuristique, en raison du mode spécifique d’affichage des données utilisé par Google Chrome. En effet, les URI (identifiant uniforme de ressource) rendent les utilisateurs de Chrome plus vulnérables, même si ce phishing cible aussi les utilisateurs de Mozilla Firefox.

En récupérant les mots de passe de comptes Google, les pirates peuvent potentiellement acheter des applications sur le Google Play, pirater le compte Google+ ou encore accéder aux documents personnels stockés sur Google Drive. Cette arnaque commence par un e-mail prétendument envoyé par Google avec pour objet « Mail Notice » ou «  New Lockout Notice ». Ce message dit : « Pour rappel, votre compte e-mail sera bloqué dans 24h en raison de l’impossibilité d’augmenter votre espace de stockage. Cliquez sur « INSTANT INCREASE » pour augmenter automatiquement votre espace de stockage. »

Si l’utilisateur clique sur le lien “INSTANT INCREASE”, il est alors redirigé vers une fausse page de connexion Google, identique à l’originale, afin de renseigner son identifiant et son mot de passe. « La caractéristique de cette attaque de phishing est que la barre d’adresse de navigation n’affiche pas une URL habituelle mais une URI, en l’occurrence ici ‘data :’ » explique Catalin Cosoi, Responsable de la stratégie de sécurité chez Bitdefender.

Ce schéma de données URI permet aux pirates d’intégrer les données correspondantes aux pages Web comme si elles étaient des ressources extérieures. Le modèle utilise le codage Base64 pour représenter les contenus des fichiers. Dans ce cas présent, les pirates fournissent le contenu des fausses pages Web dans une chaîne codée dans les données URI. Et, dans la mesure où Google Chrome n’affiche pas toute cette chaîne, il est difficile pour l’utilisateur, même habitué, de comprendre qu’il est victime d’une attaque par phishing.

Il est habituel pour les cybercriminels de se faire passer pour des prestataires de services envoyant des messages ou notifications prétendument issus d’organismes tels que Google, Facebook, eBay, d’opérateurs téléphoniques ou de banques, qui figurent parmi les « déguisements » favoris des spécialistes du phishing pour envahir les boites mail du monde entier. Une attaque similaire avait récemment ciblé la page d’accueil Google Drive afin de récupérer les identifiants Gmail. Afin de se prémunir contre des arnaques en ligne, Bitdefender préconise également aux internautes de toujours utiliser une solution de sécurité à jour.

 

8 incidents informatiques sur 10 seraient dus au facteur humain

84 % des incidents de sécurité informatique sont liés au facteur humain, alors que seulement la moitié des budgets est consacrée à ce type de menaces.

Voilà les premiers chiffres de l’étude menée lors de la RSA Conference et présentée lors du Gartner Identity & Access Management Summit 2014 par BalaBit. L’étude eCSI de BalaBit souligne le fait qu’il est désormais nécessaire d’ajuster le budget sécurité à hauteur des menaces liées au facteur humain.

BalaBit IT Security, acteur sur le marché des solutions dédiées à la gestion de logs et à la surveillance des comptes à privilèges, a présenté les résultats de son dernier rapport eCSI lors du Gartner Identity & Access Management Summit 2014. L’étude a été menée auprès de 300 participants lors de la récente RSA Conference à San Francisco. Les résultats de cette enquête montrent que 84 % des incidents de sécurité informatique sont liés au facteur humain (erreur humaine, attaques sophistiquées internes ou externes, etc.). En terme de budget, l’étude souligne également que les dépenses sont assez équilibrées entre : les 55 % du budget consacrés à la gestion du risque humain et les 45 % consacrés à l’infrastructure.

Ainsi, les entreprises concentrent toujours leurs ressources dédiées à la sécurité informatique à la sécurité des infrastructures et aux facteurs de risque externe. Les personnes interrogées ont classé les principaux facteurs de risque, en fonction du budget consacré : 30 % privilégient la menace externe, au-dessus de tous les autres risques ; 28 % ont déclaré que les dysfonctionnements du système sont parmi les risques les plus importants ; 17 % ont cité les attaques automatiques (injection SQL, DDoS, …) Alors que la protection dédiée aux erreurs humaines et aux hackers internes est une priorité budgétaire absolue pour seulement une petite minorité des personnes interrogées : respectivement 13 % et 12 %. Pourtant, en terme d’évaluation du coût potentiel de la menace, les résultats sont différents : 51 % des personnes interrogées ont déclaré que les erreurs humaines provoquent la plus grande perte financière ; Seulement 18 % pour la menace externe ; 15 % pour la menace interne et 9 % pour les dysfonctionnements du système et 7 % pour les attaques automatiques.

« La plus grande incohérence que notre étude ai permis de révéler est que les professionnels de l’IT savent clairement que les erreurs humaines causent 51 % de leurs pertes alors qu’en terme de budget, seulement 13 % d’entre eux placent le risque lié au facteur humain en haut de la liste et 40 % des personnes interrogées placent les erreurs humaines comme la menace la moins importante. Si les entreprises souhaitent dépenser leur budget de sécurité informatique de manière logique, il est temps de palier à cette contradiction », commente Zoltán Györko, CEO de BalaBit IT Security. BalaBit a également demandé aux participants de la RSA Conference d’estimer, jusqu’à combien le niveau de la sécurité informatique de leur entreprise pouvait être réduit pour satisfaire les besoins des utilisateurs à privilèges : 83 % des personnes interrogées ont répondu que leur niveau de sécurité était réduit (19 % fortement, notablement à 32 % et modérément à 32 %), pour satisfaire les utilisateurs privilégiés.

« En raison de leur manque de flexibilité, les solutions de contrôle d’accès ne sont souvent pas en mesure de prévenir les incidents mais empêchent les utilisateurs de travailler efficacement. La surveillance peut être un outil efficace contre les risques de sécurité liés au facteur humain, que la source soit interne ou externe. Les risques liés au facteur humain peuvent être considérablement diminués par la détection et le blocage des activités suspicieuses des utilisateurs. Les alertes et la surveillance en temps réel sont inévitables pour les comptes à privilèges, qui disposent de droits d’accès, de modification ou de suppression des informations sensibles de l’entreprise. Il n’est pas étonnant que leurs profils soient la cible principale des hackers. Un taux plus élevé de détection est plus dissuasif que le contrôle passif et plus favorable aux entreprises  », ajoute Zoltán Györko.

5 étapes pour sécuriser la confidentialité de votre navigateur

Peu importe la source, toutes les statistiques que vous trouverez prouvent que les navigateurs les plus utilisés sont Chrome, Firefox et Internet Explorer. De nombreuses études et tests ont été effectués pour découvrir quel était le plus sûr de tous. Cependant, les tests ne font que démontrer la capacité de chaque navigateur à répondre à un ensemble de tests prédéfinis, habituellement appelé « sécurité de base ». Néanmoins, cette base change radicalement tous les mois.

Résultat, aucun navigateur n’est sûr à 100% même si certains navigateurs réparent les failles de sécurité plus rapidement que d’autres. Alors comment est-il possible d’améliorer son expérience de navigation sur Internet ? C’est dans ce but, que Sorin Mustaca, expert en sécurité IT d’Avira, propose 5 étapes pour une navigation plus sûre, plus confidentielle et peut-être même indirectement, plus rapide:

1.     Maintenez votre navigateur à jour
C’est la première étape de renforcement du navigateur car un navigateur vulnérable peut être exploité par une simple visite de sites Internet sans que vous n’en sachiez rien. Nous vous conseillons de toujours autoriser les mises à jour automatiques et de les installer aussitôt qu’elles sont disponibles. En cas de doute, installez un outil gratuit qui contrôle les failles potentielles de votre logiciel.

2.     Augmenter la sécurité intégrée dans votre navigateur
C’est la deuxième étape de renforcement du navigateur, elle peut être gérer de différentes façons :
– Configurez votre navigateur pour qu’il rejette les cookies tiers
– Désactivez les plugins dont vous n’avez pas besoin comme : ActiveX, Java, Flash etc.
– Permettez la protection anti-phishing et anti-malware déjà intégrée
– Configurez le navigateur pour envoyer la requête « ne pas traquer » à votre historique de navigation
– Chaque fois que cela est possible, désactivez le script actif. Soyez conscient que certains sites web ne pourront tout simplement pas fonctionner sans script (JavaScript en particulier).

Dans Internet Explorer, nombre de ces configurations peuvent être mises en place en changeant les paramètres dans « Sécurité » et « Confidentialité ».
– Activez le bloqueur intégré de pop-up
– Désactivez les anciennes barres d’outils qui ne vous sont plus utiles. (Avez-vous vraiment besoin de voir la météo ou avoir un traducteur à portée de main tout le temps?)

3.     Choisissez avec précaution quel plugin vous allez installer
Les plugins et add-ons permettent d’étendre facilement les fonctionnalités du navigateur. Cependant, il existe de nombreux plugins, même disponibles sur les stores officiels, qui sont, soit, malveillants, soit, qui présentent des problèmes importants en matière de sécurité et de confidentialité. Le plus inquiétant est que pour un utilisateur lambda, ces problèmes ne sont pas visibles jusqu’à ce qu’il soit trop tard. Ayez toujours en tête qu’un plugin a accès à tout ce que vous cliquez et voyez sur le navigateur, y compris toutes vos navigations en connexions cryptées. Le plugin réside dans le navigateur et a accès à tout ce que l’utilisateur voit. Le contenu est donc déjà décrypté et il n’y a absolument rien qui puisse empêcher un plugin malveillant d’envoyer toutes vos informations (bancaires, personnelles, etc.) à une quelconque adresse internet. Jetez toujours un coup d’œil sur le classement donné par d’autres utilisateurs avant d’installer un add-on. De plus, gardez un œil sur les autorisations demandées par l’add-on. Par exemple, si un message instantané d’add-on requiert l’accès à toutes vos URL, cela devrait vous mettre la puce à l’oreille.

4.     Installez les plugins de sécurité et de confidentialité
Il existe des extensions qui améliorent votre sécurité en faisant un filtrage sur les URL que vous visitez ou même de manière dynamique en analysant le contenu des pages internet. C’est le cas d’Avira Browser Safety. Si vous préférez choisir vous-mêmes vos extensions, il en existe de nombreuses qui empêchent le « tracking » et la publicité. Vous pouvez également utiliser Web of Trust (WOT), basé sur le crowdsourcing, il donne un point de vue indépendant sur le statut des URL.

5.     Forcez l’utilisation du protocole SSL quand cela est possible
Des extensions telles que HTTPS Anywhere essaient de choisir une connexion HTTPS au lieu de HTTP quand celle-ci est disponible pour sécuriser votre navigation.